私は Ubuntu 12.04 サーバーを持っています。Heartbleed 脆弱性を修正するためにパッケージを更新しましたOpenSSL。しかし、Web サーバーを再起動しても、サーバー全体を再起動しても、まだ脆弱性が残っています。
脆弱性を確認するために、次のものを使用しました。
dpkg は以下を実行します:
dpkg -l |grep openssl
ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools
(launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)
答え1
libssl1.0.0パッケージも更新されていること (パッケージに実際のライブラリが含まれ、パッケージにツールが含まれていること) と、アップグレード後にライブラリを使用するすべてのサービスが再起動されていることを確認opensslします。
openssl (service apache restart) を使用してすべてのサービスを再起動する必要があります。
答え2
その可能あなたは偽陽性のケースです、よくある質問:
誤検知(赤)が発生しています。
注意してください。ボタンを叩いてサイトに不具合が発生しない限り、赤が赤ではないと考えることはできません。
メモリ ダンプをチェックしてください。メモリ ダンプが存在する場合、ツールはそれをどこかから取得しました。
正しく更新した後、すべてのプロセスを再起動すると、見た目が良くなるはずだと 99% 確信しています。
更新:影響を受けていないバージョンが赤くなるという報告がまだ続いています。問題に対するコメント影響を受けている場合、次の 3 つの情報が必要です: メモリ ダンプ (どこから来たのかを調べるため)、タイムスタンプ (できるだけ正確なもの。[ネットワーク] タブで試してください)、クリックして入力した内容の完全な説明。
別のツールを使ってサイトをテストすることもできます。SSLラボ、まだ脆弱性があると報告されているかどうかを確認してください。
また、この問題をhttp://filippo.io/ハートブリード上記のようにテスターを使用します。
答え3
mod_spdyを実行している場合は、mod_spdyのインストールを更新してください。https://groups.google.com/forum/#!topic/mod-spdy-discuss/EwCowyS1KTU詳細については、mod_spdy deb をアップグレードするか、以前のバージョンを完全に削除する必要があります。
答え4
記載されているバグが発生している可能性があります。よくある質問ページ。特定の状況下では、パッチを適用したシステムでも脆弱な通知を受け取ることがあるようです。
誤検知(赤)が発生しています。
注意してください。ボタンを叩いてサイトに不具合を起こさない限り、赤が赤ではないとは考えられません。メモリ ダンプを確認してください。メモリ ダンプがある場合は、ツールがどこかから取得しています。正しく更新した後、すべてのプロセスを再起動すると、99% の確率で改善されるはずです。
更新: 影響を受けていないバージョンが赤くなるという報告が引き続き寄せられています。影響を受けている場合は、ぜひこの問題についてコメントしてください。私が探しているのは、メモリ ダンプ (どこから来たのかを調べるため)、タイムスタンプ (できるだけ正確なもの。[ネットワーク] タブで試してください)、クリックして入力した内容の完全な説明の 3 つです。
次のような代替テストでテストすることをお勧めします。クアリスシステムが脆弱性を解消したことを確認してください。脆弱性が解消されていない場合は、ギットハブそしてそれを報告します。
まだ壊れている
何ですか? あなたが言及している「サーバー」には、静的にリンクされた OpenSSL ライブラリがある可能性があります。つまり、システムを更新しても、アプリケーションは依然として危険にさらされているということです。すぐにソフトウェア ベンダーに連絡してパッチを入手するか、パッチを入手するまでサービスを停止する必要があります。
パッチがリリースされるまで、本当にサービスを無効にする必要がありますか?
はい、脆弱なサービスを実行することは、不注意によって起こり得るほど非常に危険です。サーバーがトランスポートから復号化したデータを、知らないうちに漏洩してしまう可能性があります。